Resultat, le ministere de la defense se retrouvera dans une course contre la montre: trouvera t'il les variantes avant l'ennemi ? Dur a dire...
Si j'ai bien compris...
Dans le cas Windows, le ministère est purement un utilisateur où il attend que Microsoft corrige gentillement les failles et il n'a besoin de s'occuper de rien. Pas de chinois, pas de faille, pas de 0-day, Windows c'est la tranquilité absolue.
Dans le cas de Linux, le ministère devient éditeur et doit patcher lui-même les logiciels, écrire des correctifs, auditer le code et est menacé sans arrêt par des terroristes qui leurs envoyent des patchs verrolés et des chinois qui construisent une collection énorme de 0-days...
Ça marche pas comme ça. Un ministère va utiliser une distribution Linux et attendre que l'éditeur fournisse les mises à jour, quitte à payer (!) le support (ex: Red Hat).
Au niveau de l'audit : pour trouver de bugs, code source/binaire compilé, même combat. Il existe des outils pour auditer les deux. Sauf que si on a les sources, on a deux fois plus d'outils, passons. Le problème est plus du côté de la manière de corriger. Dans le cas de Windows, il est presque impossible de se passer de Microsoft (enfin, de l'éditeur du logiciel dont on n'a pas les sources). Alors que pour Linux, tu peux patcher les sources et maintenir ta propre version du paquet (ça coûte pas cher en maintenance), au moins en attendant que l'éditeur patche (ou alors si tu veux garder le correctif pour toi).
[^] # Re: Critique = faut que ça marche sans bug et tout le temps
Posté par Victor STINNER (site web personnel) . En réponse à la dépêche Thales met à disposition un framework à composants logiciels visant les systèmes critiques. Évalué à 2.
Si j'ai bien compris...
Dans le cas Windows, le ministère est purement un utilisateur où il attend que Microsoft corrige gentillement les failles et il n'a besoin de s'occuper de rien. Pas de chinois, pas de faille, pas de 0-day, Windows c'est la tranquilité absolue.
Dans le cas de Linux, le ministère devient éditeur et doit patcher lui-même les logiciels, écrire des correctifs, auditer le code et est menacé sans arrêt par des terroristes qui leurs envoyent des patchs verrolés et des chinois qui construisent une collection énorme de 0-days...
Ça marche pas comme ça. Un ministère va utiliser une distribution Linux et attendre que l'éditeur fournisse les mises à jour, quitte à payer (!) le support (ex: Red Hat).
Au niveau de l'audit : pour trouver de bugs, code source/binaire compilé, même combat. Il existe des outils pour auditer les deux. Sauf que si on a les sources, on a deux fois plus d'outils, passons. Le problème est plus du côté de la manière de corriger. Dans le cas de Windows, il est presque impossible de se passer de Microsoft (enfin, de l'éditeur du logiciel dont on n'a pas les sources). Alors que pour Linux, tu peux patcher les sources et maintenir ta propre version du paquet (ça coûte pas cher en maintenance), au moins en attendant que l'éditeur patche (ou alors si tu veux garder le correctif pour toi).